【正文】 的方式組網(wǎng)。外網(wǎng)WEB服務(wù)器接在 AmarantenF600防火墻DMZ區(qū)，對外開啟 tep80服務(wù)。CNZ電路有保密性能好，傳輸速率高，信道利用率高，網(wǎng)絡(luò)時延小等特點(diǎn)。vPN對，支持500個 WEBVPN對，可擴(kuò)展至2500個 WEBVPN對。借助融合型防火墻、入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)Anti一X服務(wù)，能夠提供主動威脅防御功能、在網(wǎng)絡(luò)受到威脅之前就能及時阻擋攻擊，控制網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活的VPN連接。l 選用國際知名品牌的設(shè)備和系統(tǒng)，技術(shù)和服務(wù)有保證。 資金管理，大額支出管理關(guān)聯(lián)交易系統(tǒng).部署模式集中部署，各子公司遠(yuǎn)程登錄本系統(tǒng)使用。 門戶、OA系統(tǒng)功能域.部署模式 本次以系統(tǒng)的實(shí)施將采用**集中部署的模式進(jìn)行，通過配置各子公司的以流程來實(shí)現(xiàn)子公司的以系統(tǒng)覆蓋 門戶系統(tǒng)建設(shè) 企業(yè)門戶功能域包括企業(yè)信息展現(xiàn)(內(nèi)部門戶)和企業(yè)網(wǎng)站(外部門戶)兩個功能模塊。分隔網(wǎng)段的特性往往要求路由器處于網(wǎng)絡(luò)的邊界上。通過制定相應(yīng)的安全策略，防火墻允許合法訪問，拒絕無關(guān)的服務(wù)和非法入侵。l AmarantenF600防火墻擁有強(qiáng)大的日志功能，可以對網(wǎng)絡(luò)訪問、入侵、病毒、內(nèi)容過濾等信息進(jìn)行詳細(xì)的記錄。l 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。本地或遠(yuǎn)程的服務(wù)器服務(wù)的用戶信息。簡便的安裝和方便的操作(集成了S/W和H/W)?？刂菩畔?。報(bào)告功能，實(shí)時或定期的網(wǎng)絡(luò)使用情況的詳細(xì)信息報(bào)告?？刂铺囟ǖ姆?wù)器、客戶端和服務(wù)(協(xié)議)，如果需要可以定義規(guī)則阻斷非法連接。提供針對不同的攻擊行為的詳細(xì)信息和對策。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案對于千兆網(wǎng)絡(luò)的完善支持。實(shí)時地顯示、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量并記入日志。l 識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報(bào)替。l 不良關(guān)鍵字:所有包含**集團(tuán)網(wǎng)絡(luò)用戶自定義不良關(guān)鍵字(如“法輪功”)的網(wǎng)頁將被屏蔽l 網(wǎng)頁分類:靦 arantenF600將上億萬個網(wǎng)頁分成了幾十個類別(如政治、經(jīng)濟(jì)、色情、暴力等)，**集團(tuán)網(wǎng)絡(luò)用戶只需要在FortiGate上設(shè)置阻斷某一類站點(diǎn)(如色情、暴力類網(wǎng)站)便可批量屏蔽不良網(wǎng)站。與地市分公司的 InternetVPN采用 CiscoASA552O防火墻，同時提供撥號VPN接入，外網(wǎng)訪問通過 AmarantenF60O防火墻控制后接入公網(wǎng)網(wǎng)絡(luò)，同時提供備用撥號VPN接入。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案 安全建設(shè) 網(wǎng)絡(luò)邊界安全防護(hù)網(wǎng)絡(luò)層的安全性首先由路由器做初步保障。統(tǒng)計(jì)查詢報(bào)表，人力資源分析。 財(cái)務(wù)狀況監(jiān)控，財(cái)務(wù)狀況分析。l **集團(tuán)、各實(shí)業(yè)分公司網(wǎng)絡(luò)用戶訪問企業(yè)信息化應(yīng)用系統(tǒng)時，都提供了統(tǒng)一 、授權(quán)、行為審計(jì)。非計(jì)劃停機(jī)將會對業(yè)務(wù)運(yùn)行、對外服務(wù)形象等造成巨大的影響，對處于激烈競爭環(huán)境下的運(yùn)營企業(yè)造成沉重的打擊。有4個千兆GE接口，和1個100M以太接口。 中國實(shí)業(yè)集團(tuán)與**集團(tuán)公司的連接采用CNZ將**集團(tuán)與集團(tuán)互連。在內(nèi)網(wǎng)防火墻之外采用兩臺 cisco3750三層交換機(jī)做路由控制，接入本大樓內(nèi)分公司網(wǎng)絡(luò)及實(shí)業(yè)本部網(wǎng)絡(luò)，由其控制訪問服務(wù)器、分公司VPN及外網(wǎng)路由。l 高度的可靠性，網(wǎng)絡(luò)在連接失敗時能有遷回路由，并有效地消除單點(diǎn)失效的隱患。我們考慮的備份主要包括數(shù)據(jù)備份、服務(wù)器備份、線路備份等幾個方面。我們都知道，網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)大多為W工NDOWS系統(tǒng)，比較容易感染病毒。我們通過在**集團(tuán)網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié)放置入侵檢測產(chǎn)品，它監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的運(yùn)行，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報(bào)警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。當(dāng)局域與遠(yuǎn)程網(wǎng)絡(luò)連接時，通常在局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)之間的接口處配置安全保密產(chǎn)品。l 一般作業(yè)類的標(biāo)準(zhǔn)用戶訪問配置。該政策還應(yīng)包括企業(yè)發(fā)生安全事故后應(yīng)對外界詢問的指南，及指明企業(yè)信息的保密程度，即哪些信息不應(yīng)向外界披露。l 認(rèn)證政策:通過有效的口令政策，在計(jì)算機(jī)之間建立信任關(guān)系。安全管理策略的實(shí)施需要工作人員和領(lǐng)導(dǎo)的支持。 性能需求由于安全控制的原理和特點(diǎn)，加上了安全的防護(hù)手段之后，多多少少會對網(wǎng)絡(luò)和系統(tǒng)帶來性能的影響。存有惡意的入侵者便有機(jī)會得到入侵的條件。n 病毒侵害的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共、打印機(jī)共享等。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。l 缺乏對網(wǎng)絡(luò)入侵行為的探測、報(bào)警、取證機(jī)制，是網(wǎng)絡(luò)在安全方面的一個隱患。l 網(wǎng)絡(luò)設(shè)備的安全隱患，網(wǎng)絡(luò)設(shè)備中包含路由器、交換機(jī)、防火墻等，它們的設(shè)置比較復(fù)雜，第二章**集團(tuán)企業(yè)信息化現(xiàn)狀可能由于疏忽或不正確理解而使這些系統(tǒng)可用而安全性不佳。2) 內(nèi)部局域網(wǎng)的安全威脅據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。**集團(tuán)網(wǎng)絡(luò)中的服務(wù)器及各人主機(jī)上都有涉密信息。l 報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。因此，我們本次企業(yè)信息化建設(shè)能集中的系統(tǒng)就集中，不能集中的才考慮由專業(yè)公司自行建設(shè)，但是由**進(jìn)行指導(dǎo)選型。業(yè)務(wù)管理和業(yè)務(wù)運(yùn)營支撐上，實(shí)業(yè)和主業(yè)之間存在顯著差異:主業(yè)的業(yè)務(wù)同質(zhì)性相當(dāng)高，而實(shí)業(yè)則是一個復(fù)雜的、多業(yè)務(wù)類型的集團(tuán)企業(yè)。為了降低系統(tǒng)的推進(jìn)難度，第一期只在**部署統(tǒng)一的0A系統(tǒng)，在系統(tǒng)中為各專業(yè)公司單獨(dú)配置流程，達(dá)到覆蓋子公司的目標(biāo)。 系統(tǒng)需求分析: 財(cái)務(wù)系統(tǒng)**集團(tuán)與各子公司財(cái)務(wù)業(yè)務(wù)統(tǒng)一，軟件統(tǒng)一，這是本次的財(cái)務(wù)系統(tǒng)的集中部署的最有利條件。考慮到現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備以及技術(shù)方案比較成熟，安全強(qiáng)度足夠高，并且應(yīng)用上需要支持遠(yuǎn)程辦公，本次建設(shè)將不采用物理隔離方式。u 網(wǎng)絡(luò)上運(yùn)行的諸多服務(wù)器和網(wǎng)絡(luò)設(shè)備都有設(shè)置有多個用戶帳號和口令，但缺乏統(tǒng)一的口令管理機(jī)制，認(rèn)證方式不可靠。 經(jīng)營分析系統(tǒng)目前包括**在內(nèi)，都沒有專門的IT系統(tǒng)用來支撐經(jīng)營分析。 財(cái)務(wù)管理系統(tǒng)、報(bào)表系統(tǒng)所有子公司都統(tǒng)一使用金蝶K/3系統(tǒng)作為財(cái)務(wù)基礎(chǔ)核算系統(tǒng)，該系統(tǒng)為C/S架構(gòu)的網(wǎng)絡(luò)版，該架構(gòu)無法滿足《指導(dǎo)意見》提出的2級架構(gòu)要求。除郵科公司網(wǎng)站系統(tǒng)部署在自有服務(wù)器上外，其他公司的網(wǎng)站系統(tǒng)都是租用電信的服務(wù)器或硬盤空間。目前**集團(tuán)各子公司各自組網(wǎng)，使用各自的以辦公系統(tǒng)。安全需求和風(fēng)險(xiǎn)評估是制定安全策略的依據(jù)。企業(yè)信息化就是利用技術(shù)的手段將先進(jìn)的企業(yè)管理思想融入企業(yè)的經(jīng)營管理中，在這個過程中將最終實(shí)現(xiàn)對財(cái)務(wù)、物流、業(yè)務(wù)流程、成本核算、客戶關(guān)系管理及供應(yīng)鏈管理等各個環(huán)節(jié)的科學(xué)管理。如果我們把分析信息系統(tǒng)集成問題的著眼點(diǎn)放在基礎(chǔ)數(shù)據(jù)信息流上，通過基礎(chǔ)數(shù)據(jù)信息流將企業(yè)各部門的主要功能“穿起來”，而不是根據(jù)現(xiàn)有部門的功能來考慮信息系統(tǒng)的集成問題，就可以建立起既具有穩(wěn)定性，又具有靈活性的全企業(yè)集成化的信息系統(tǒng)模型，有效地防止信息孤島的產(chǎn)生。企業(yè)信息化建設(shè)中有一句老話:“三分技術(shù)，七分管理，十二分?jǐn)?shù)據(jù)”，信息系統(tǒng)的實(shí)施是建立在完善的基礎(chǔ)數(shù)據(jù)之上的，而信息系統(tǒng)的成功運(yùn)行則是基于對基礎(chǔ)數(shù)據(jù)的科學(xué)管理。圖l一l管理流程圖 安全體系網(wǎng)絡(luò)安全是一個綜合的系統(tǒng)工程，需要考慮涉及到的所有軟硬件產(chǎn)品環(huán)節(jié)。安全防御系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險(xiǎn)類。本解決方案就是要提供網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)監(jiān)測、流量控制、帶寬保證、防入侵檢測。除郵科通信公司的郵箱系統(tǒng)是架設(shè)在自有服務(wù)器上外，其他公司的郵箱系統(tǒng)都是主機(jī)托管或租用電信的郵箱服務(wù)。目前所有子公司都使用北京久其公司的久其報(bào)表軟件單機(jī)版，報(bào)表模板由**統(tǒng)一下發(fā)，各子公司財(cái)務(wù)部負(fù)責(zé)收集數(shù)據(jù)，匯總后上報(bào)給**。該系統(tǒng)技術(shù)架構(gòu)比較先進(jìn)，功能基本滿足該公司的業(yè)務(wù)需求，由于為自己開發(fā)的系統(tǒng)，維護(hù)支撐、軟件功能升級都比較便利。 **集團(tuán)企業(yè)信息化系統(tǒng)需求分析 網(wǎng)絡(luò)需求分析結(jié)合**集團(tuán)的1T現(xiàn)狀及本省的06一09年IT總體規(guī)劃需求，擬在**集團(tuán)有限公司集團(tuán)總部建設(shè)一中心點(diǎn)，作為中心機(jī)房，通過中心點(diǎn)與全市5個上市子公司之間組建辦公網(wǎng)。異地備份機(jī)房選用郵科公司智能網(wǎng)機(jī)房。對未來的系統(tǒng)無法提出有深度的需求，因此本次人力資源管理系統(tǒng)應(yīng)該具備最核心的功能，兼顧性價(jià)比，系統(tǒng)一邊建設(shè)一邊培訓(xùn)，通過成熟系統(tǒng)向現(xiàn)有的人力資源管理人員灌輸先進(jìn)的人力資源管理理念，固化并統(tǒng)一全省的人力資源管理制度。**集團(tuán)、設(shè)計(jì)院、郵科公司、工程公司都擁有自己的公司網(wǎng)站，但是功能簡單，且連最簡單的互相鏈接都沒有。**在組織架構(gòu)等工作陸續(xù)完成后，將逐步加強(qiáng)對業(yè)務(wù)的管理。 安全需求分析第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外部網(wǎng)絡(luò)的一些不懷好意的入侵者的攻擊。如果工作人員發(fā)送、接收和查看攻擊性材料，可能會形成敵意的工作環(huán)境，從而增大內(nèi)耗。目前計(jì)算機(jī)在網(wǎng)絡(luò)中的身份是以IP地址作為自己的標(biāo)識的。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性。第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 應(yīng)用的安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)的安全涉及很多方面。Web是電子業(yè)務(wù)的發(fā)布板，與其他服務(wù)器連接在一起，對Web服務(wù)器的攻擊容易波及其他的網(wǎng)絡(luò)服務(wù)器和設(shè)備。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感